Подразделение Microsoft, отвечающее за кибербезопасность, в своем аккаунте в Twitter рассказала об атаках ботнета Sysrv. Данный вредонос использует эксплойты уязвимостей во фреймворках Spring и WordPress. Его целью является установка криптомайнера на разные серверы с ОС Windows и ОС Linux.
Зловред носит название Sysrv-K. Хакеры добавили в него функцию сканирования версий WordPress и Spring, не имеющих нужного обновления или патча.
Microsoft Security Intelligence
ОФициальный twitter-аккаунт
«Новый вариант ботнета, который мы называем Sysrv-K, добавил в свой арсенал дополнительные эксплойты, с помощью которых он получает полный контроль над веб-серверами. Среди используемых брешей есть как старые баги в WordPress, так и новые уязвимости вроде CVE-2022-22947».
Уязвимость под кодовым наименованием CVE-2022-22947 на данный момент проходит реанализ и пока имеет самый высокий критический балл 10 из 10. Она дает возможность внедрить вредоносный код и затрагивает библиотеку Spring Cloud Gateway. При ее эксплуатации киберпреступники могут выполнить любой код на скомпрометированных хостах. Кроме этого, Sysrv-K сканирует конфигурационные файлы сайтов на WordPress и их резервные копии. Он ищет имена баз данных и пользователей, пароли и прочую важную информацию. В конце атаки Sysrv устанавливает или пытается установить в систему вредонос-криптомайнер XMRig, который добывает криптовалюту Monero. Найден данный ботнет киберисследователями в феврале, а в марте они зафиксировали всплеск активности.
